-
09/04/2020
-
118
-
1.238 bài viết
React Native CLI gặp lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi lệnh từ xa
Một lỗ hổng thực thi mã từ xa nghiêm trọng vừa được phát hiện trong React Native CLI với mã CVE‑2025‑11953. Theo nhóm bảo mật JFrog, kẻ tấn công có thể thực thi lệnh hệ điều hành trên máy phát triển thông qua server dev, gây rủi ro cao với các dự án React Native, mức độ nghiêm trọng được đánh giá 9,8/10,0 theo CVSS.
CVE‑2025‑11953 ảnh hưởng trực tiếp đến bộ công cụ dòng lệnh của Meta, thành phần cốt lõi hỗ trợ lập trình viên build ứng dụng React Native trên nhiều nền tảng. Với khoảng 1,5–2 triệu lượt tải mỗi tuần, phạm vi ảnh hưởng là rất lớn. Lỗ hổng cũng tác động đến gói @react-native-community/cli-server-api từ phiên bản 4.8.0 đến 20.0.0‑alpha.2 và đã được vá trong phiên bản 20.0.0 phát hành vào tháng trước.
Lỗ hổng xuất phát từ server phát triển Metro, được React Native sử dụng để build mã JavaScript và các tài nguyên. Theo mặc định, server này tiếp nhận kết nối trên tất cả các cổng mạng thay vì chỉ localhost. Đồng thời, endpoint /open-url không kiểm soát đầy đủ dữ liệu đầu vào do client gửi, trực tiếp chuyển vào hàm open() của gói npm open, dẫn tới khả năng thực thi lệnh hệ điều hành.
Kẻ tấn công có thể khai thác bằng cách gửi một POST request được chế tạo đặc biệt tới endpoint này. Trên Windows, kẻ tấn công có thể khởi chạy shell với tham số hoàn toàn do họ kiểm soát. Trên Linux và macOS, CVE‑2025‑11953 có thể bị lợi dụng để chạy các file thực thi với mức kiểm soát tham số hạn chế. Những tiến trình này cho phép tấn công từ mạng bên ngoài, biến công cụ gỡ lỗi cục bộ thành điểm tấn công từ xa.
Lỗ hổng này mở đường cho kẻ tấn công thực hiện nhiều hành vi nguy hại liên tiếp. Trước hết, kẻ tấn công có thể truy cập, sửa đổi hoặc xóa mã nguồn và dữ liệu build trên máy phát triển hoặc ổ mạng gắn kết, dẫn tới mất dữ liệu. Tiếp theo, dữ liệu nhạy cảm bị mã hóa hoặc đánh cắp có thể bị dùng để tống tiền. Cuối cùng, kẻ xấu có thể cài đặt backdoor hoặc implant - một phần mềm bí mật giúp duy trì quyền truy cập và thực thi lệnh từ xa biến máy phát triển thành một node điều khiển từ xa trong botnet hoặc triển khai các chiến dịch tấn công lan rộng.
Các nhóm phát triển được khuyến nghị cập nhật ngay gói React Native CLI lên phiên bản đã vá và kiểm tra các cài đặt toàn cục. Trong trường hợp chưa thể nâng cấp, nên cấu hình Metro server chỉ nhận kết nối từ localhost và kiểm tra kỹ các tiến trình đang chạy, nhật ký truy cập tới /open-url, đồng thời giới hạn các port phát triển bằng firewall. Với môi trường ảo hóa hoặc CI/CD, cần xây dựng lại image với phiên bản CLI đã vá để đảm bảo an toàn.
CVE‑2025‑11953 ảnh hưởng trực tiếp đến bộ công cụ dòng lệnh của Meta, thành phần cốt lõi hỗ trợ lập trình viên build ứng dụng React Native trên nhiều nền tảng. Với khoảng 1,5–2 triệu lượt tải mỗi tuần, phạm vi ảnh hưởng là rất lớn. Lỗ hổng cũng tác động đến gói @react-native-community/cli-server-api từ phiên bản 4.8.0 đến 20.0.0‑alpha.2 và đã được vá trong phiên bản 20.0.0 phát hành vào tháng trước.
Lỗ hổng xuất phát từ server phát triển Metro, được React Native sử dụng để build mã JavaScript và các tài nguyên. Theo mặc định, server này tiếp nhận kết nối trên tất cả các cổng mạng thay vì chỉ localhost. Đồng thời, endpoint /open-url không kiểm soát đầy đủ dữ liệu đầu vào do client gửi, trực tiếp chuyển vào hàm open() của gói npm open, dẫn tới khả năng thực thi lệnh hệ điều hành.
Kẻ tấn công có thể khai thác bằng cách gửi một POST request được chế tạo đặc biệt tới endpoint này. Trên Windows, kẻ tấn công có thể khởi chạy shell với tham số hoàn toàn do họ kiểm soát. Trên Linux và macOS, CVE‑2025‑11953 có thể bị lợi dụng để chạy các file thực thi với mức kiểm soát tham số hạn chế. Những tiến trình này cho phép tấn công từ mạng bên ngoài, biến công cụ gỡ lỗi cục bộ thành điểm tấn công từ xa.
Lỗ hổng này mở đường cho kẻ tấn công thực hiện nhiều hành vi nguy hại liên tiếp. Trước hết, kẻ tấn công có thể truy cập, sửa đổi hoặc xóa mã nguồn và dữ liệu build trên máy phát triển hoặc ổ mạng gắn kết, dẫn tới mất dữ liệu. Tiếp theo, dữ liệu nhạy cảm bị mã hóa hoặc đánh cắp có thể bị dùng để tống tiền. Cuối cùng, kẻ xấu có thể cài đặt backdoor hoặc implant - một phần mềm bí mật giúp duy trì quyền truy cập và thực thi lệnh từ xa biến máy phát triển thành một node điều khiển từ xa trong botnet hoặc triển khai các chiến dịch tấn công lan rộng.
Các nhóm phát triển được khuyến nghị cập nhật ngay gói React Native CLI lên phiên bản đã vá và kiểm tra các cài đặt toàn cục. Trong trường hợp chưa thể nâng cấp, nên cấu hình Metro server chỉ nhận kết nối từ localhost và kiểm tra kỹ các tiến trình đang chạy, nhật ký truy cập tới /open-url, đồng thời giới hạn các port phát triển bằng firewall. Với môi trường ảo hóa hoặc CI/CD, cần xây dựng lại image với phiên bản CLI đã vá để đảm bảo an toàn.
Tổng hợp
Chỉnh sửa lần cuối: